{"id":22606,"date":"2024-05-20T16:48:09","date_gmt":"2024-05-20T19:48:09","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22606"},"modified":"2024-05-20T16:48:09","modified_gmt":"2024-05-20T19:48:09","slug":"beware-github-malicious-links","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/beware-github-malicious-links\/22606\/","title":{"rendered":"Malware camuflado nos links “oficiais” do GitHub e do GitLab"},"content":{"rendered":"

Uma das dicas mais consagradas em seguran\u00e7a \u00e9: \u201cbaixe o software somente de fontes oficiais\u201d. Geralmente, as \u201cfontes oficiais\u201d s\u00e3o as principais lojas de aplicativos em cada plataforma. Por\u00e9m, para milh\u00f5es de aplicativos de c\u00f3digo aberto, \u00fateis e gratuitos, a fonte mais \u201coficial\u201d \u00e9 o reposit\u00f3rio do desenvolvedor em um site dedicado, como GitHub ou GitLab. Nesses sites, \u00e9 poss\u00edvel encontrar o c\u00f3digo-fonte do projeto, corre\u00e7\u00f5es e adi\u00e7\u00f5es ao c\u00f3digo, e muitas vezes, uma compila\u00e7\u00e3o do aplicativo pronta para uso. Esses sites s\u00e3o familiares para qualquer pessoa que se interessa por computadores, software e programa\u00e7\u00e3o. Por isso, foi uma descoberta desagrad\u00e1vel para muitas pessoas, inclusive para os especialistas em seguran\u00e7a de TI e os pr\u00f3prios desenvolvedores, que um arquivo acess\u00edvel em um link como github{.}com\/{Nome_do_Usu\u00e1rio}\/{Nome_do_Reposit\u00f3rio}\/files\/{Id_do_arquivo}\/{nome_do_arquivo}<\/em> possa ser publicado por algu\u00e9m que n\u00e3o seja o desenvolvedor e conter\u2026 qualquer coisa.<\/p>\n

E, \u00e9 claro, imediatamente, os criminosos virtuais passaram a tirar proveito disso.<\/p>\n

Dissecando o problema<\/h2>\n

O GitHub e seu parente mais pr\u00f3ximo, o GitLab, foram criados com o intuito de fornecer colabora\u00e7\u00e3o para os projetos de desenvolvimento de software. Um desenvolvedor pode carregar seu c\u00f3digo e outros profissionais podem oferecer adi\u00e7\u00f5es, corre\u00e7\u00f5es ou at\u00e9 mesmo criar ramifica\u00e7\u00f5es, isto \u00e9, as vers\u00f5es alternativas do aplicativo ou da biblioteca. Se um usu\u00e1rio encontrar um bug em um aplicativo, ele poder\u00e1 inform\u00e1-lo ao desenvolvedor ao criar um relat\u00f3rio de problema. Outros usu\u00e1rios poder\u00e3o confirmar o problema ao fazer coment\u00e1rios. Tamb\u00e9m \u00e9 poss\u00edvel comentar as novas vers\u00f5es do aplicativo. Caso seja necess\u00e1rio, existe a possibilidade de anexar arquivos nos coment\u00e1rios, como capturas de tela para mostrar erros ou documentos que travam o aplicativo. Esses arquivos s\u00e3o armazenados nos servidores do GitHub com o uso de links do tipo descrito acima.<\/p>\n

No entanto, o GitHub tem uma peculiaridade: se um usu\u00e1rio preparar um coment\u00e1rio e carregar os arquivos que o acompanham, mas n\u00e3o clicar em \u201cPublicar\u201d, as informa\u00e7\u00f5es permanecer\u00e3o \u201cpresas\u201d no rascunho e ficar\u00e3o invis\u00edveis para o propriet\u00e1rio do aplicativo e para outros usu\u00e1rios da plataforma. Por\u00e9m, um link direto para o arquivo carregado no coment\u00e1rio \u00e9 criado. Ele ficar\u00e1 totalmente operacional e qualquer pessoa que clicar nele receber\u00e1 o arquivo na CDN do GitHub.<\/p>\n

\"Um<\/a>

Um link para o download de um arquivo malicioso \u00e9 gerado depois da adi\u00e7\u00e3o do arquivo com um coment\u00e1rio n\u00e3o publicado no GitHub<\/p><\/div>\n

Enquanto isso, os propriet\u00e1rios do reposit\u00f3rio no qual o arquivo foi publicado com os coment\u00e1rios n\u00e3o podem exclu\u00ed-lo ou bloque\u00e1-lo. E eles nem sabem o que est\u00e1 acontecendo! Al\u00e9m disso, n\u00e3o h\u00e1 configura\u00e7\u00f5es para restringir o carregamento desses arquivos para o reposit\u00f3rio como um todo. A \u00fanica solu\u00e7\u00e3o seria desativar completamente os coment\u00e1rios. No GitHub, \u00e9 poss\u00edvel fazer isso por at\u00e9 seis meses, mas isso impediria que os desenvolvedores compartilhassem suas avalia\u00e7\u00f5es.<\/p>\n

O mecanismo de coment\u00e1rios do GitLab \u00e9 semelhante. Ele permite que os arquivos sejam publicados pelos coment\u00e1rios de rascunho. Os arquivos ficam acess\u00edveis por meio de um link como gitlab.com\/{Nome_do_Usu\u00e1rio}\/{Nome_do_Reposit\u00f3rio}\/uploads\/{Id_do_arquivo}\/{nome_do_arquivo}.<\/em><\/p>\n

No entanto, o problema aqui \u00e9 menos grave. Somente usu\u00e1rios registrados e logados no GitLab podem carregar os arquivos.<\/p>\n

Um presente para as campanhas de phishing<\/h2>\n

Os criminosos virtuais, ent\u00e3o, encontram uma brecha para difundir ataques de phishing muito convincentes, pois \u00e9 poss\u00edvel publicar arquivos aleat\u00f3rios nos links que come\u00e7am com o GitHub\/GitLab. Como eles cont\u00eam os nomes de desenvolvedores respeitados e projetos populares, um coment\u00e1rio n\u00e3o publicado com um arquivo pode ser deixado em qualquer reposit\u00f3rio. Campanhas maliciosas<\/a> j\u00e1 foram descobertas em \u201ccoment\u00e1rios\u201d deixados nos reposit\u00f3rios da Microsoft. Eles continham aplicativos de jogos fraudulentos.<\/p>\n

Um usu\u00e1rio mais atento poderia se perguntar por que um aplicativo de jogo fraudulento estaria no reposit\u00f3rio da Microsoft: https:\/\/github{.}com\/microsoft\/vcpkg\/files\/\u2026..\/Cheat.Lab.zip<\/em>. Mas \u00e9 muito mais prov\u00e1vel que as palavras-chave \u201cGitHub\u201d e \u201cMicrosoft\u201d tranquilizem a v\u00edtima, que n\u00e3o examinar\u00e1 mais o link. Criminosos mais espertos podem disfar\u00e7ar o malware com ainda mais cuidado. Por exemplo, ele pode ser apresentado como uma nova vers\u00e3o de um aplicativo distribu\u00eddo pelo GitHub ou GitLab, e os links podem ser publicados pelos \u201ccoment\u00e1rios\u201d naquele aplicativo.<\/p>\n

Como garantir a prote\u00e7\u00e3o contra conte\u00fado malicioso no GitHub e no GitLab<\/h2>\n

Enquanto essa falha de desenvolvimento permanecer sem corre\u00e7\u00e3o e qualquer pessoa puder carregar livremente arquivos aleat\u00f3rios para a CDN do GitHub e do GitLab, os usu\u00e1rios dessas plataformas precisar\u00e3o manter muita cautela.<\/p>\n